Proof Strategy Extraction from LLMs for Enhancing Symbolic Provers

本文提出了 Strat2Rocq 框架，通过离线提取大语言模型的证明策略并将其形式化为 Rocq 引理，在在线阶段增强 CoqHammer 等符号证明器的自动化能力，从而在开源软件验证项目中显著提升了证明成功率。

要点

这篇论文讲述了一个非常有趣的故事：如何让“笨”但安全的数学证明机器，学会“聪明”但昂贵的 AI 大模型的解题技巧。

我们可以把这篇论文的核心思想想象成**“把天才的解题直觉，变成普通人的工具书”**。

1. 背景：两个性格迥异的“证明者”

想象一下，在软件验证（确保代码不出错）的世界里，有两个主要的“证明者”：

• 符号证明器（Symbolic Provers，比如 CoqHammer）：
  • 性格： 像是一个严谨、死板但极其可靠的会计。它完全按照规则办事，不需要休息，不会撒谎，而且可以在你自家的电脑上运行（安全、便宜）。
  • 缺点： 它太死板了。遇到稍微复杂一点的数学题，它不知道“走捷径”，必须一步一步按死规则推导，经常卡在半路走不出来。
• 大语言模型（LLMs）：
  • 性格： 像是一个才华横溢但有点“神神叨叨”的天才数学家。它一眼就能看出题目的规律，能直接跳到答案，甚至能发现人类都没注意到的捷径。
  • 缺点： 它太“贵”了（需要超级计算机），而且如果把它请进公司，可能会把公司的机密代码泄露出去（不安全）。

过去的问题： 人们试图把这两个结合起来，让天才数学家（LLM）在线指导会计（符号证明器）。但这既花钱又有安全风险。

2. 核心创意：提取“解题秘籍”

这篇论文提出了一个大胆的想法：既然不能总请天才数学家来现场指导，那能不能在他解题的时候，偷偷把他脑子里的“解题套路”记下来，整理成一本“秘籍”，然后交给那个死板的会计去用呢？

这就是论文提出的 Strat2Rocq 框架。

3. 工作流程：三步走战略

这个过程分为两个阶段，就像**“离线备课”和“在线考试”**：

第一阶段：离线备课（把直觉变成规则）

• 场景： 作者找了一大堆数学题（训练集）。
• 动作： 他们让那个“天才数学家”（LLM）来做这些题，并让它用大白话把解题思路写出来。
  • 比如： 天才说：“哎呀，这个式子 $a+b+c$ 直接等于 $c+b+a$，不用一步步算！”
• 转化： 系统把这些“大白话”的直觉，自动翻译成严谨的数学公式（称为引理 Lemmas）。
  • 比如： 把“直接等于”翻译成一条正式的数学定理：Lemma power_1: ...
• 结果： 得到了一大堆新的“解题秘籍”（引理库）。这些秘籍是 LLM 从海量数据中学到的“直觉”，现在变成了严谨的规则。

第二阶段：在线考试（死板会计用秘籍）

• 场景： 现在遇到一个新的、很难证明的数学题。
• 动作： 我们不再请天才数学家，而是把刚才整理好的“解题秘籍”（引理库）直接塞给那个“死板会计”（CoqHammer）。
• 效果： 会计本来只会死算，但现在它手里有了“秘籍”。当它看到题目时，它可以直接引用秘籍里的捷径，瞬间就证明了以前证明不了的题目！

4. 一个生动的比喻：导航仪 vs. 老司机

• 符号证明器就像是一个只有基础地图的导航仪。它知道路怎么走，但遇到复杂的路况（复杂的数学证明），它只能一条路一条路地试，很慢且容易迷路。
• 大语言模型就像是一位经验丰富的老司机。他不用看地图，凭直觉就知道哪条小路能抄近道。
• Strat2Rocq 的做法：
  1. 先让老司机（LLM）开一次车，把他脑子里的“抄近道经验”（比如“遇到红灯右转能避开拥堵”）记录下来。
  2. 把这些经验整理成新的交通规则（引理）。
  3. 把这些新规则更新到导航仪（符号证明器）的数据库里。
  4. 以后，导航仪虽然还是那个导航仪，但它现在知道了那些“抄近道”的规则，也能像老司机一样快速到达目的地了！

5. 实验结果：效果惊人

作者用真实的开源软件项目（像 CompCert 编译器这种大项目）做了测试：

• 成功率提升： 给符号证明器加上这些“秘籍”后，它成功证明题目的比例提高了 13.41%。这意味着以前很多证明不了的安全漏洞，现在能自动证明了。
• 意外惊喜： 这些“秘籍”不仅帮了死板的会计，反过来给“天才数学家”（LLM 代理）看，也能让它解题更准（提升 4%），而且用的“脑子”（Token 消耗）更少了。
• 通用性： 不管用的是哪个品牌的“天才数学家”（不同的 LLM），这套提取方法都管用。

6. 总结：为什么这很重要？

这篇论文最大的贡献在于**“去魅”与“落地”**：

1. 安全与省钱： 我们不需要在每次证明代码时都去调用昂贵且危险的 AI 服务。我们只需要在离线阶段（比如晚上）把 AI 的智慧提取出来，变成静态的规则库。
2. 永久传承： 一旦提取成功，这些“策略”就变成了代码的一部分。哪怕以后 AI 模型更新了，这些提炼出来的核心智慧依然保留在符号证明器里，随时可用。
3. 理解 AI： 这也让我们明白，AI 并不是真的在“思考”，它其实是在模仿人类积累的数学直觉。如果我们能把这些直觉变成规则，我们就能用更简单、更安全的方式解决复杂问题。

一句话总结：
这就好比把爱因斯坦的解题直觉，写成了小学生都能看懂的公式，让最普通的计算器也能算出爱因斯坦的难题，而且不用付爱因斯坦的出场费，也不用担心他泄露机密。

技术摘要

这是一份关于论文《Proof Strategy Extraction from LLMs for Enhancing Symbolic Provers》（从大语言模型中提取证明策略以增强符号证明器）的详细技术总结。

1. 研究背景与问题 (Problem)

• 背景：软件验证是软件工程的关键领域，交互式定理证明（ITP）是其中的重要方法。然而，编写形式化证明通常需要巨大的人力成本（例如 seL4 内核的验证代码量是内核实现代码的 10 倍）。
• 现状与挑战：
  • 近年来，大语言模型（LLM）在定理证明方面表现出色，常与符号证明器结合形成混合代理（Proof Agents）。
  • 局限性：纯 LLM 或混合代理存在显著缺陷：
    1. 成本高昂：需要大量计算资源。
    2. 安全隐患：许多关键软件供应商（如小型安全公司）拥有保密代码库，无法使用外部 LLM 服务。
    3. 部署困难：难以在资源受限的本地环境（如个人电脑）上运行。
• 核心问题：尽管 LLM 时代到来，纯符号方法因其低成本、高安全性和高效性依然重要。能否从 LLM 内部提取其证明策略，并将其转化为符号证明器可理解的形式，从而增强纯符号证明器的能力？

2. 方法论：Strat2Rocq 框架 (Methodology)

作者提出了 Strat2Rocq 框架，旨在将 LLM 的“隐性”证明策略转化为符号证明器（如 CoqHammer）可显式使用的引理（Lemmas）。该框架分为两个阶段：

阶段一：离线引理挖掘 (Offline Lemma Mining)

此阶段仅在训练集上执行一次，目的是从 LLM 生成的证明轨迹中提取策略并形式化。

1. 自然语言证明生成 (NL Proof Generation)：
   • 针对训练集中的每个定理，提示 LLM 生成分步的自然语言证明。
   • 原因：LLM 在生成自然语言推理时表现更好，且自然语言证明更能反映其内部推理逻辑（LLM 通常先构思 NL 证明再形式化）。
   • 输入：类型定义、函数定义、当前文件上下文及定理陈述。
2. 策略泛化与形式化 (Generalization & Formalization)：
   • 提示 LLM 将 NL 证明中的关键步骤泛化为通用的引理，并形式化为 Rocq（Coq 的后续版本）代码。
   • 难点处理：直接形式化单个步骤比形式化整个证明更容易（Autoformalization 的简化版）。
   • 自我修正机制：引入一个证明代理（Proof Agent），迭代地修复 LLM 生成的错误引理或证明，直到成功验证或达到最大重试次数。
   • 输出：一组经过验证的、通用的 Rocq 引理。

阶段二：在线定理证明 (Online Theorem Proving)

此阶段用于证明用户提交的新定理。

• 策略：将阶段一提取并验证的引理插入到新定理的证明上下文中。
• 执行：使用纯符号证明器（CoqHammer）进行证明。
• 优势：LLM 不再参与在线证明过程。CoqHammer 利用内置的 KNN 机制从包含新引理的上下文中检索相关引理，从而利用 LLM 蒸馏出的知识进行自动化证明。

3. 关键贡献 (Key Contributions)

1. 提出新研究方向：首次提出“离线从 LLM 提取证明策略以增强符号证明器”的研究问题，解决了 LLM 在安全、成本和离线场景下的应用瓶颈。
2. 提出 Strat2Rocq 方法：设计了一套从自然语言证明中提取、泛化并形式化为可复用引理的完整流程，成功将 LLM 的策略集成到符号证明器中。
3. 实证验证：在多个开源 Rocq 项目上实现了该方法，并证明了其显著的有效性。
4. 双重收益发现：不仅增强了符号证明器，还发现提取的引理能辅助 LLM 代理（通过 RAG 机制），提升 LLM 自身的证明能力。

4. 实验结果 (Results)

实验在 2,394 个来自 CompCert、Coq-Art、Ext-Lib 和 Vfa 的开源 Rocq 定理上进行，采用 3 折交叉验证。

• RQ1：提取效率

  • 使用 Claude 3.7 Sonnet 作为后端，Strat2Rocq 平均为每个原始定理提取了 1.91 个 新的有效引理。
  • 证明了该方法能有效从 LLM 内部策略中挖掘出可形式化的知识。

• RQ2：对符号证明器的增强效果

  • 成功率提升：Strat2Rocq 使 CoqHammer 的定理证明成功率平均提升了 13.41%。
  • 具体案例：
    • 避免归纳法：CoqHammer 本身不支持归纳法，但通过提取的引理（如 power_1），可以将需要归纳的定理转化为简单的交换律问题，从而被证明。
    • 增强引理选择：帮助证明器识别原本被忽略的等价引理形式。
  • 不同模型：使用 o3-mini 作为后端时，同样提升了 12.16%，且不同 LLM 提取的引理具有互补性。

• RQ3 & RQ4：消融实验

  • NL 证明的重要性：如果跳过自然语言证明生成步骤，直接让 LLM 生成形式化引理，提取的引理数量下降 63.56%，证明成功率下降 6.21%。这证明了“先 NL 后形式化”策略的关键性。

• RQ5：对 LLM 代理的辅助

  • 将提取的引理作为检索增强生成（RAG）的知识库，LLM 代理的证明成功率提升了 4.00%。
  • Token 消耗降低：由于 CoqHammer 能独立解决更多问题，减少了 LLM 的调用次数，Token 消耗降低了约 5.87%。

5. 意义与价值 (Significance)

1. 安全与成本效益：提供了一种在离线环境、无外部 API 依赖且低成本（仅需个人电脑）下增强定理证明能力的方案，特别适用于保密代码库和小型安全厂商。
2. 解释 LLM 的黑盒行为：通过提取 LLM 的策略并将其转化为符号引理，该方法提供了一种理解 LLM 如何进行形式化推理的视角。如果增强后的符号证明器能达到 LLM 的性能，这将为解释 LLM 的推理机制提供理论依据。
3. 技术路线创新：不同于传统的“LLM 辅助证明”（LLM 在线参与），该方法实现了"LLM 离线蒸馏，符号器在线执行”的解耦模式，兼顾了 LLM 的推理能力和符号器的可靠性。

总结：Strat2Rocq 成功地将 LLM 强大的推理能力“蒸馏”为符号证明器可理解的静态知识（引理），在不牺牲安全性和成本的前提下，显著提升了自动化定理证明的效率和成功率。